100 likes | 205 Views
NAMIFOT3, INFORTE3 Přednáška 4. Malware. 1.Viry . 2.Virům podobné počítačové hrozby: trojské koně, bomby, červi. 3.Rootkit. 4.Spyware. 5.Adware. 6.Hoax. 7.Spam. 8.Základní antivirové prostředky. SW hrozby.
E N D
Malware 1.Viry. 2.Virům podobné počítačové hrozby: trojské koně, bomby, červi. 3.Rootkit. 4.Spyware. 5.Adware. 6.Hoax. 7.Spam. 8.Základní antivirové prostředky.
SW hrozby Programy k vniknutí do výpočetního systému nebo poškození některé jeho součásti -počítačová infiltrace (Bedware). •Computercontaminant(počítačová nečistota) -právní terminologie několika členských států USA (Kalifornie, Západní Virginie). •MALWARE= malicious(zákeřný) + software počítačové viry, virům podobné hrozby -trojské koně, bomby, červy, rootkity spyware, adware. •Spam. •Metody sociálního inženýrství.
Malware –důvody vzniku •Zvídavost-programátoři si chtějí vyzkoušet své schopnosti (nemusí si uvědomit dopad svojí činnosti). •Vyniknutí–touha po slávě může mít nejrůznější, třeba nemorální nebo nezákonnou, podobu. •Propagace–myšlenek, názorů či provolání velmi pochybným způsobem. •Ovládnutí–Viry jsou jednou z cest, jak ovládnout a řídit větší množství počítačů a využívat je např. k rozesílání SPAMu. •Pomsta-programátoři velkých softwarových firem, kteří byli propuštěni ze zaměstnání, se svým zaměstnavatelům pomstí vytvořením viru a jeho vpuštěním do firemní sítě. •Zisk–profesionální Cybercrime. •Konspirace(málo pravděpodobná verze) -programátoři firem produkujících antivirové programy zvyšují prodeje svých výrobků
Virus -definice Označení virus zavedl do počítačové terminologie poprvé ve své odborné přednášce výzkumný pracovník Fred Cohenv roce 1984 (ExperimentswithComputerViruses): „Počítačový virus je počítačový program, který může infikovat jiný počítačový program takovým způsobem, že do něj zkopíruje své tělo, čímž se infikovaný program stává prostředkem pro další aktivaci viru.“ Jiná definice: „Virus je program samovolně se šířící bez vědomí uživatele a vykonávající (škodlivou)činnost.“ •Takový program se chová jako biologický virus, který se šíří vkládáním svého kódu do živých buněk. V souladu s touto analogií se někdy procesu šíření viru říká nakažení či infekce a napadenému souboru hostitel. •1986 … první počítačový virus -Brain(mozek), napadal bootsektory počítačových disket (tehdy 5¼“360KB) (ochrana proti nelegálním kopiím -Bratři BasitaAmjadFarooqAlvi-Lahore, Pakistan).
Počítačový virus –destruktivita Nejčastější akce prováděné destruktivními viry: •formátování pevného disku, •přepis náhodně vybraných sektorů náhodnými daty, •změny obsahu souborů nebo jejich zničení, •nefunkčnost aplikací či zhroucení OS. Pro nedestruktivní aktivační rutiny jsou charakteristické: •Vizuální projevy Virus Pojerve speciálních případech (lichý den v únoru, prosinci, červenci a v září) způsobuje blikání kurzoru •Akustické projevy Virus Cadkilldá v poledne uživateli hlasitě najevo, že je čas jít na oběd. •Audio-vizuální projevy Virus Brain2či 17. listopad se aktivuje 17. listopadu a vypisuje na obrazovku politické prohlášení spolu se zvukovým doprovodem
Počítačový virus destruktivní Dobré viry-ochrana proti nelegálnímu kopírování: •virus Cascade-písmena padají na spodní okraj obrazovky, •virus Ping Pong-míček se odráží od písmen na obrazovce, •virus Michelangelo-formátování harddisku, Přímé škody: •náklady na odstranění viru, •náklady na kontrolu dat a reinstalaci software, •náklady na znovuvytvoření poškozených dat, •výpadek výroby, chybně provedené finanční operace … •následky havárie (chemická továrny, jaderná elektrárna), •poškození zdraví v důsledku používání poškozeného programu. Nepřímé škody: •náklady na nákup a provoz AV SW a HW a na organizační opatření, • •náklady z omezení provozu daná opatřeními v antivirové ochraně.
Počítačový virus destruktivní Kvantifikace škod dleDr. A.Solomona: • triviální-čas (3 min) nutný k odstranění viru bez destrukční a přepisující části • malé-obnoveníze záložních kopií resp. reinstalace, čas 30 min • střední-zakódovánídisku, zničení FAT tabulky, nízkoúrovňovéformátování. Data musí být obnovena ze záloh, ztracena práce asi za půl dne -300 min. • velké-postupnéničení nebo modifikace dat, objevení viru až po několika dnech. Data musí být obnovena ze starších záloh, reinstalace, ztraceno 3000 min. • kruté-virus provádějící postupné ničení dat, nebo provádějící pozvolné změny v datových souborech, objevený s velkým zpožděním. Obtížná jakákoli obnova ze záložních kopií.
Počítačový virus –rozdělení podle hostitele Podle toho, prostřednictvím jakých hostitelů se virus šíří, je možné je dělit na několik druhů. Základními typy hostitelů jsou: • Spustitelné soubory –COM a EXE programy v prostředí DOSu, EXE soubory v Microsoft Windows, ELF soubory v UNIXuatd. • Bootsektorydisket a diskových oddílů. • Master bootsektorpevného disku. • Dávkové soubory a skripty –BAT v DOSu, shellskripty, UNIXovýchsystémů. • Dokumenty, které mohou obsahovat makra–dokumenty programů Microsoft Office. • Specializované skripty některých konkrétních aplikací.
Počítačový virus –rozdělení podle způsobu činnosti Podle různých aspektů způsobu činnosti se některé viry označují specializovanými termíny: Rezidentní-pouze se uloží do operační paměti, ve které zůstane až do doby vypnutí a infikuje soubory se kterými uživatel pracuje. •Rezidentní legálně –viry TSR (TerminatebutStayResident) •Rezidentní nelegálně -bootovacíviryumístí se těsně pod hranici 640 kB základní části OP RAM • a operačnímu systému „tvrdě“ zaberou příslušnou část této paměti pro vlastní potřebu. Operační systém pak o odebrané paměti vůbec neví a tím má virus zajištěno, že nedojde k přemazání jeho • těla jinými daty. Nerezidentní-ve chvíli spuštění hostitele se spustí kód viru a rozšíří se do nalezených nenakažených souborů -viry „přímé akce“. • infikace všech spustitelných programů v pracovním adresáři, • infikace jednoho vybraného spustitelného programu.